Подготовка к подаче уведомления в Роскомнадзор (часть 1)

ПДн – персональные данные;

РКН – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);

ТУ РКН – Территориальное Управление Роскомнадзора

152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Уведомление – уведомления о намерении осуществлять обработку персональных данных.

Уведомление об изменениях, корректирующее уведомление – Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.

В современных условиях практически все юридические лица, индивидуальные предприниматели и даже самозанятые работают с персональными данными и практически все (за исключением трех случаев ч. 2 ст. 22 152-ФЗ) должны быть зарегистрированы в Реестре операторов ПДн.

О том, кто является оператором персональных данных читайте в нашей статье «Пошаговое руководство для тех, кто работает с персональными данными».

Когда подавать Уведомление?

Сделать это нужно до начала обработки ПДн (ч. 1 ст. 22 152-ФЗ), но при этом предельный срок для уведомления Роскомнадзора о начале обработки персональных данных законом не установлен.

Это позволяет операторам, пропустившим срок подачи, направить Уведомление о текущем положении дел по обработке ПДн в добровольном порядке.

В настоящее время за добровольную подачу Уведомления с нарушением сроков не штрафуют. Однако, в мае 2025 года нас ждет ужесточение ответственности за непредоставление Уведомления, в связи с чем и подходы Роскомнадзора могут измениться. Поэтому не стоит затягивать с вопросом регистрации в Реестре операторов персональных данных.

Многие компании спрашивают: «Если мы работаем уже давно, но вовремя не подали Уведомление, то какую дату начала обработки нам сейчас указывать, текущую?»

Отвечаем: нет, дату начала обработки нужно указать реальную. В качестве даты начала обработки рекомендуется указывать дату регистрации в налоговом органе.

Теперь разберем, как правильно подойти к заполнению Уведомления.

Основная ошибка – бежать и подавать уведомление сразу.

Почему? В этом случае уведомление подается на основе неутвержденной информации и может быть неполным, а также противоречить внутренним документам и фактической деятельности компании.

Есть приказ Минцифры РФ от 17.08.2023 № 720, которым утвержден индикатор риска контрольного мероприятия РКН, связанный с несоответствием Уведомления и ЛНА. Если такие несоответствия будут – в отношении оператора может быть инициирована контрольная проверка.

Чтобы правильно заполнить Уведомление, предварительно определите, когда Вы работаете с ПДн, какие данные есть у Вас в распоряжении, где они у Вас хранятся, в какие программы вносятся – изучите все процессы обработки ПДн. И на основании этой информации подготовьте локальные акты. Подавайте Уведомление на основе ЛНА.

Когда оператор подает Уведомление на основе готовых локальных документов, он тем самым:

  1. Выполняет закон;
  2. Исключает индикатор риска;
  3. Защищает себя от штрафов.

Приведем несколько примеров, подчеркивающих связь между Уведомлением и локальными актами.

1. Чтобы указать в Уведомлении ответственного за организацию обработки ПДн, сначала нужно его назначить и зафиксировать в Приказе «О назначении ответственного за организацию обработки персональных данных», после чего отразить информацию в Уведомлении.

2. Чтобы указать Цели обработки данных, нужно определить их, зафиксировать в документе, например, в Политике или Положении об обработке ПДн, и из этих документов перенести в Уведомление информацию о Целях и описать каждую цель, как того требует закон (см. п. 2 ч. 1 ст. 18.1 152-ФЗ).

3. По каждой Цели обработки нужно заранее определить: какой объем данных обрабатывается в пределах указанной Цели, с какими субъектами взаимодействуете, на основании чего производится обработка, какими способами. Все это нужно зафиксировать в ЛНА.

Например, может быть Приказ «Об утверждении перечней персональных данных», в котором описано и утверждено, с какими категориями и данными вы работаете.

4. Информация о базах данных и их адресах берете из документа Приказ о базах данных.

Чтобы составить такой приказ нужно:

  • Провести инвентаризацию ИСПДн и баз данных, составить их список;

  • Определить место нахождения каждой базы данных;

  • Зафиксировать в ЛНА перечень ИСПДн и их базы данных: указать название системы, базы данных, место её расположение и ответственное за хранение лицо.

5. В силу закона вы должны вести учет применяемых СКЗИ. Поэтому сведения по СКЗИ Вы тоже берете из таких учетных документов, например, из Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

В сервисе 152DOC реализован такой важный подход:

  • сначала вы заполняете и формируете комплект документов, в которых определяете цели обработки, категории субъектов, с которыми работаете, объем обрабатываемых данных, назначаете ответственного за организацию обработки ПДн и тд.
  • и только после этого формируется и направляется в РКН Уведомление. При таком походе расхождений между ЛНА и Уведомлением не будет!

Также следует обратить внимание, что в Уведомлении необходимо будет указать, какие организационные и технические меры приняты у вас для обеспечения безопасности ПДн и их защиты (разделы Уведомления «Описание мер, предусмотренных ст. 18.1 и 19 152-ФЗ» и «Сведения об обеспечении безопасности»).

Если в компании нет ничего, то правильно и актуально заполнить данные разделы не получится, поскольку невозможно описать то, чего нет.

Формально, можно придумать или просто переписать требования закона, скажете вы, и многие придерживаются такого подхода, но это влечет неактуальность и недостоверность сведений в Реестре (а за это есть административная ответственность).

Кроме того, если допустим, описание принятых мер еще можно списать с закона, то указать названия криптографических средств и тд. явно не получится.

Поэтому и рекомендуется сначала разобраться с требованиями законодательства, принять меры, установить необходимые средства защиты информации (например, антивирус, межсетевые экраны, средства от несанкционированного доступа, сканер уязвимости), разработать локальные акты – а потом уже проинформировать Роскомнадзор.

В противном случае, придется корректировать уведомление, получать предписания, требования, а возможно и штрафы.

До заполнения уведомления также следует выяснить информацию об адресах баз данных. Используете ли Вы свои собственные сервера или арендованные, храните ли ПДн в облачных хранилищах, где расположен хостинг сайта?

Для получения данной информации придется поднимать договоры, направлять запросы владельцам ЦОДов, облачных сервисов, что скорее всего потребует времени на сбор и обработку полученных сведений. Поэтому сделайте это заранее. 

В Уведомлении потребуется указать конкретный адрес ЦОДа, а также информацию о лице, ответственном за хранение базы данных.

Нужно понимать, что Уведомление подается на всю деятельность в целом! Не по конкретному субъекту ПДн, не в отношении какого-то одного направления работы (например, кадрового), а в отношении всей обработки ПДн.

В законе не установлено, с какой периодичность направлять сведения в Реестр операторов. Все будет зависеть от того, менялось ли у Вас что-то в работе с персональными данными.

Измениться может все, что угодно: цели обработки (их стало больше или меньше), способы обработки, объемы обрабатываемых данных, ответственный за организацию обработки, адрес регистрации. Если хоть одно изменение произошло – нужно уведомить об этом Роскомнадзор путем направления Уведомления об изменениях (до 15 числа месяца, следующего за месяцем изменений).

Таким образом нельзя подать уведомление единожды и забыть про него! Работу с персональными данными невозможно в какой-то момент остановить и сказать, что у нас все сделано, это постоянный процесс. Нужен регулярный аудит, проверка на предмет актуальности сведений, соответствие их текущему законодательству, своевременное уведомление Роскомнадзора об изменениях. 

Уведомление подается на Портале персональных данных тремя возможными способами:

  • В бумажном виде (это значит, что после подготовки Уведомления его необходимо будет распечатать, подписать у руководителя и направить оригинал в Роскомнадзор почтой или иным способом);
  • В электронном виде, используя усиленную квалифицированную электронную подпись;
  • В электронном виде с применением средств аутентификации Единой системы идентификации и аутентификации (ЕСИА).

Если по каким-то причинам Вы сначала выбрали один способ подачи Уведомления, но затем решили изменить на другой (например, сначала заполнили способом, предполагающим подписание электронной подписью, но затем возникли проблемы с подписанием), не переживайте, Вы можете вернуться к выбору формата, изменить его. При этом заполненные Вами данные не потеряются, а будут перенесены в новую форму, изменится только способ подачи уведомления, и Вы спокойно завершите его направление в Роскомнадзор.

В заполнении Уведомления Вам могут помочь эксперты сервиса 152DOC. Пользователи сервиса могут нажать кнопку «Отправить уведомление в РКН» и сразу из Сервиса быстро и правильно подать заявку на формирование уведомления в РКН.

В следующей части нашей статьи рассмотрим разделы Уведомления, в которых чаще всего допускаются ошибки, а также отметим несколько подсказок, которые упростят заполнение Уведомления.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять